Künstliche Intelligenz erzeugt einen Multiplikatoreffekt bei Cyberangriffen
ESET, ein weltweit führendes Unternehmen im Bereich Cybersicherheit, hat seinen Half-Time Threat Report 2026 veröffentlicht, der die in der ESET-Telemetrie von Dezember 2025 bis Mai 2026 beobachteten Trends in der Bedrohungslandschaft sowie die Erkenntnisse der ESET-Experten für Bedrohungserkennung und -forschung zusammenfasst.

Dem Bericht zufolge zeigt das erste Halbjahr 2026, wie Angreifer die Effizienz und Skalierbarkeit ihrer Abläufe weiter verbessern. Künstliche Intelligenz (KI) spielt bei dieser Entwicklung eine immer wichtigere Rolle. ESET analysierte fast 900.000 KI-Fähigkeiten, bei denen es sich um kleine Funktionskomponenten handelt, die von KI-Agenten verwendet werden. Es wurden Tausende eindeutig bösartiger Proben mit Zehntausenden Verdächtigen entdeckt. Künstliche Intelligenz taucht auch in Malware auf: ESET-Forscher haben PromptSpy identifiziert, die erste bekannte Android-Malware, die generative KI in ihrem Ausführungsablauf verwendet.
Jiří Kropáč, Leiter der Threat Prevention Labs bei ESET, sagte: „Anstatt sich auf völlig neue Methoden und Tools zu verlassen, passen Angreifer etablierte Techniken schnell an neue Plattformen, Technologien und Benutzerverhalten an. Die Anzahl der KI-Funktionen in diesem neuen Ökosystem nimmt derzeit rapide zu, was Angriffe ermöglicht.“ „Andererseits zeigt PromptSpy das Potenzial für eine erhöhte Widerstandsfähigkeit gegenüber zukünftigen Bedrohungen – obwohl die in LLMs enthaltenen Schutzmaßnahmen gegen Missbrauch die Einführung dieser Technologie wahrscheinlich verlangsamen.“
KI-Funktionen sind kleine Plug-ins oder Befehlssätze, die einem KI-Agenten mitteilen, wie er eine bestimmte Aufgabe ausführen soll, einschließlich der zu verwendenden Dienste oder Tools und der Daten, auf die er zugreifen soll. Der veröffentlichte Bericht enthält Details zu böswilligen KI-Fähigkeiten, die Hacking-Tools von Drittanbietern wie Mimikatz oder Impacket verwenden, sowie verdächtige selbstmodifizierende Fähigkeiten, die darauf ausgelegt sind, einen Persistenzmechanismus (JSON-Datei) und ein selbstmodifizierendes Tool (Python-Code) zu erstellen. Dies kann zu unvorhersehbarem Verhalten des Agenten oder Missbrauch durch einen Angreifer führen. Schließlich gibt es auch harmlose, aber problematische Funktionen, die als Sicherheitsscanner vermarktet werden, die ein falsches Sicherheitsgefühl erzeugen, aber nur grundlegende Scantechniken anwenden (wie Antiviren-Tools aus den 1990er Jahren) oder die Reputation von Hashes, URLs und IP-Adressen auf VirusTotal abfragen.
ClickFix, eine Social-Engineering-Technik, die gefälschte Fehlermeldungen nutzt, hat sich über gefälschte CAPTCHA-Warnungen hinaus auf Hilfeseiten mit KI-Thema, Browsererweiterungen und Cloud-Authentifizierungsszenarien ausgeweitet. AI-Fix zeigt, wie Angreifer das Vertrauen in generative KI ausnutzen; Angreifer betten ClickFix-Angriffsketten in KI-generierte Fehlerbehebungsinhalte für nicht vorhandene Probleme auf Seiten ein, die die Domänen von KI-Giganten missbrauchen. ConsentFix hingegen verdeutlicht eine Entwicklung hin zum Token-Diebstahl, indem ClickFix-ähnliche Interaktionen mit OAuth-Autorisierungsmissbrauch kombiniert werden, um Cloud-Konten zu übernehmen, ohne Anmeldeinformationen stehlen zu müssen, und sich auf völlig legitime Anmelde-Workflows zu verlassen, die häufig die Multi-Faktor-Authentifizierung (MFA) umgehen. Die Entdeckungen dieses Vektors durch ESET haben sich zwischen der zweiten Hälfte des Jahres 2025 und der ersten Hälfte des Jahres 2026 mehr als verdoppelt, was darauf hindeutet, dass die Aktivität anhält und die Angreifer sich anpassen.
QR-Code-Phishing hat ein Rekordniveau erreicht
Phishing-Kampagnen entwickeln sich ebenfalls als Reaktion auf das Benutzerverhalten weiter. QR-Code-Phishing, auch „Quishing“ genannt, hat in ESET-Telemetriedaten Rekordwerte erreicht. Angreifer platzieren bösartige Links in QR-Codes, um Kontrollen zu umgehen und die Benutzerinteraktion auf mobile Geräte zu verlagern, und nutzen dabei das implizite Vertrauen aus, das viele Menschen in Barcodes mit quadratischem Muster setzen. Ungefähr 11 Prozent aller im ersten Halbjahr 2026 erkannten Phishing-E-Mails verwendeten QR-Codes, und QR-Code-Phishing-Bedrohungen waren in den Vereinigten Staaten (19 % der Entdeckungen), Spanien (17 %) und Mexiko (6 %) am häufigsten.
Lösegeldangriffe dauern an
Die Ransomware-Aktivität hat keine Anzeichen einer Verlangsamung gezeigt; Es wurden weiterhin EDR-Killer eingesetzt, die Sicherheitssoftware bei Angriffen deaktivieren sollten. ESET Research hat mehr als 100 verschiedene EDR-Killer im realen Einsatz dokumentiert und es tauchen regelmäßig neue Varianten auf.Obwohl die Zahl der Ransomware-Angriffe im ersten Halbjahr 2026 weiter steigt, ist die Zahl der zahlungswilligen Opfer auf einem historischen Tiefstand angelangt. Drei aktuelle Branchenberichte bestätigen diesen Abwärtstrend und berichten, dass der Anteil der zahlenden Opfer zwischen 14 und 28 Prozent liegt.






